权限提升漏洞之Netlogon协议详解 以及可能出现得漏洞分析

浩浩测试一下2024-12-01 10:12

1.Netlogon服务1

  • Netlogon服务为域内的身份验证提供一个安全通道

    • 它被用于执行与域用户和机器身份验证相关的各种任务 ,最常见的是让用户使用NTLM协议登录服务器

    • 默认情况下,Netlogon服务在域内所有机器后台运行

2.Netlogon服务2

  • Netlogon服务为域内的身份验证提供一个安全通道

    • 它被用于执行与域用户和机器身份验证相关的各种任务 ,最常见的是让用户使用NTLM协议登录服务器

    • 默认情况下,Netlogon服务在域内所有机器后台运行

      • 该服务的可执行文件路径为C:\Windows\system32\lsass.exe

3.Netlogon认证流程1

  • Neglogon 客户端和服务端之间通过 Microsoft Netlogon Remote Protocol(MS-NRPC)来进行通信。

    • MS-NRPC并没有使用与其他RPC相同的解决方案

    • 在进行正式通信之前,客户端和服务端之间需要进行身份认证并协商出一个Session Key

      • 该值用于保护双方后续的RPC通信流量。

该服务的可执行文件路径为C:\Windows\system32\lsass.exe

4.Netlogon认证流程2

  • Neglogon 客户端和服务端之间通过 Microsoft Netlogon Remote Protocol(MS-NRPC)来进行通信。

    • MS-NRPC并没有使用与其他RPC相同的解决方案

    • 在进行正式通信之前,客户端和服务端之间需要进行身份认证并协商出一个Session Key

      • 该值用于保护双方后续的RPC通信流量。

5.简要的Netlogon认证流程3

  • 域内机器客户端

  • 客户端发送Client Challenge

  • 服务端发送Server Challenge

  • Session Key=Encrypt(SharedSecret,Client Challenge,Server,Challenge)

  • 客户端发送Client Credential=(Encrypt(Session Key,Client Challenge))

  • 服务端发送Server Credential=(Encrypt(Session Key,Server Challenge))

  • 域控服务端

  • 1)由客户端启动网络登录会话,客户端调用NetrServerReqChallenge函数给服务端发送随机的8字节的Client Challenge值。

  • 2)服务端收到客户端发送的NetrServerReqChallenge函数调用指令后,服务端也调用NetrServerReqChallenge 函数发送随机的8字节的Server Challenge值。

  • 3)此时,客户端和服务端均收到了来自对方的Challenge值 ,然后双方都使用共享的密钥secret(客户端机器账户的Hash)以及来自双方的Challenge值通过计算得到SessionKey [Session Key=KDF(secret,(Client Challenge+Server Challenge))]。

    • 此时,客户端和服务端均拥有了相同的Client Challenge、Server Challenge、Session Key

  • 4)客户端使用Session Key 作为密钥加密Client Challenge 得到Client Credential并发送给服务端。

    • 服务端收到客户端发来的Client Credential后,本地使用Session Key 作为密钥加密Client Challenge 计算出 Client Credential

    • 然后比较本地计算出的Client Credential和从客户端发送来的Client Credential 是否相同。

    • 如果两者相同,则说明客户端拥有正确的凭据以及Session Key

  • 5)服务端使用Session Key 作为密钥加密Server Challenge 得到Server Credential并发送给客户端

    • 客户端收到服务端发来的Server Credential后,本地使用Session Key作为密钥加密Server Challenge 计算出Server Credential

    • 然后比较本地计算出的Server Credential和从服务端发送来的Server Credential是否相同。

    • 如果两者相同,则说明服务端拥有相同的Session Key.

  • 6)至此,客户端和服务端双方互相认证成功并且拥有相同的Session Key,此后使用Session Key 来加密后续的RPC通信流量

6.协议漏洞分析

  • 到底是以上哪步出现了问题导致漏洞的产生呢?后面空了再来说说这个问题哟
相关推荐
网安小白的进阶之路2 小时前
A模块 系统与网络安全 第四门课 弹性交换网络-3
网络·安全·web安全
安当加密2 小时前
基于PostgreSQL的TDE透明加密解决方案:构建数据全生命周期的国密合规安全体系
安全·postgresql·区块链
源文雨4 小时前
MacOS 下 Warp ping 局域网设备报错 ping: sendto: No route to host 的解决方法
运维·网络协议·安全·macos·网络安全·ping
周某人姓周4 小时前
安全初级(二)HTTP
网络协议·安全·http
Hello.Reader4 小时前
在运行中的 Kafka 集群渐进式启用安全零停机实战手册(KRaft/Broker 通用)
分布式·安全·kafka
国科安芯7 小时前
关于软错误的常见问题解答
单片机·嵌入式硬件·安全·硬件架构·软件工程
winrisef9 小时前
删除无限递归文件夹
java·ide·python·pycharm·系统安全
小红帽6159 小时前
使用burp工具的intruder模块进行密码爆破
网络·安全·html
老赵聊算法、大模型备案9 小时前
2025年6-8月中国大模型备案分析报告
大数据·人工智能·安全·语言模型·aigc
独行soc13 小时前
2025年渗透测试面试题总结-102(题目+回答)
网络·安全·web安全·网络安全·adb·渗透测试·安全狮
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02jdk21下载、安装(Windows、Linux、macOS)03HarmonyOS NEXT开发进阶(十四):HarmonyOS应用开发者基础认证试题集汇总及答案解析04BongoCat - 跨平台键盘猫动画工具05UV安装并设置国内源06GitHub 镜像站点0746个Nano-banana 精选提示词,持续更新中08Linux下V2Ray安装配置指南09零基础搭建赛博朋克个人主页:蓝耘Claude Code完整实战教程10adb安装教程(附adb命令大全详解)adb环境配置教程